ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK TASLAĞI

Transkript

1 Bilgi Teknolojileri ve İletişim Kurulu nun tarihli ve 2017/1K-THD/239 sayılı Kararı ile EHK'nın 51'inci maddesi hükümlerinin uygulanmasına ilişkin hususların netleştirilmesi ve ikincil hususların düzenlenmesi amacıyla hazırlanan taslak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik'in, Bilgi Teknolojileri ve İletişim Kurumu Teşkilât Yönetmeliği'nin "Görüş alınması ve değeriendirilmesi" başlıklı 44'üncü maddesinin birinci fıkrası uyarınca kamuoyu görüşü alınmak üzere Ekte yer alan taslağın Kurumumuz internet sitesinde 30 gün süreyle yayımlanması hususuna oy birliği ile karar verilmiştir. Bu çerçevede görüşlerin bireysel görüşlerin kurumsal görüşlerin adreslerine, işlenebilir dosya formatında elektronik ortamda, Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmelik te geçen aşağıdaki tablonun doldurulması suretiyle gönderilmesi hususu arz ve rica olunur. ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK TASLAĞI GÖRÜŞ BİLDİRME FORMU Taslağın Geneli Üzerindeki Görüş ve Değerlendirme Taslak yönetmelik incelenirken, 5809 sayılı EHK, 6698 sayılı KVKK ve sektöre özgü bir düzenleme olan tarih ve sayılı Resmi Gazete de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik göz önünde bulundurulmuştur. Taslak yönetmelik incelenmiş kurgunun daha iyi anlaşılabilmesi için aşağıdaki zihin haritaları çıkarılmıştır. Teklif

2 Elektronik Haberleşme (EH) sektöründe 3 tip kişisel verinin oluştuğu anlaşılmaktadır. Yine taslak yönetmeliğe baktığımızda, aktörlerin de aşağıdaki şekilde olduğu görülmektedir. Yönetmeliğin amacının Elektronik Haberleşme (EH) sektöründe üretilen Kişisel Elektronik Haberleşme Verilerine (KEHV) yönelik düzenlemeler yapılması olduğu, KEHV dışında kalan verilerin 6698 sayılı KVKK nun kapsamında (Sağlık Bakanlığı yönetmeliğinde olduğu gibi) değerlendirilmesi gerektiği

3 düşünülmektedir. Bu değerlendirmeden hareketle taslak yönetmeliğin tamamında yer alan Kişisel Veri ifadelerinin Kişisel Elektronik Haberleşme Verisi olarak değiştirilmesi gerektiği düşünülmektedir. Diğer yandan, taslak yönetmelik EH sektöründe kişisel verilerin işlenmesi ve gizliliğinin korunmasını hedeflerken, kişisel veri tanımına tüzel kişi de ilave edilmektedir. İşletmecilerden tüzel kişi adına abonelikler ihdas edilse bile alınacak EH hizmetinin gerçek kişiler tarafından kullanılacağı ve yönetmeliğin konusu olan elektronik haberleşme verisi ile trafik ve konum verilerinin gerçek kişiye ait olacağı değerlendirilmektedir. Bu nedenle kişisel veri tanımının, 6698 sayılı kanunda da öngörüldüğü şekilde sadece gerçek kişileri kapsayacak şekilde ele alınması gerektiği düşünülmektedir. Tüzel kişilerin ticari sırları zaten ayrı bir yönetmeliğin konusudur. Taslak yönetmelikte, veri sahipleri ve veri işleyenlere (işletmeciler) ilişkin hükümlere yer verilirken düzenleyici kuruma (BTK) yönelik bir madde bulunmamaktadır. Kritik öneme haiz KEHV lerinin işlenmesinde ortaya çıkabilecek sorunlar ya da teknolojik gelişmeler sonucu yeni oluşabilecek durumların BTK da nasıl ele alınacağının da bu yönetmelikte düzenlenmesi gerektiği düşünülmektedir. Bu çerçevede yönetmelik taslağına ilişkin oluşturulan görüşlerimiz forma işlenmiştir.

4 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK TASLAĞI BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir. Dayanak MADDE 2 (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddeleri ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır. Tanımlar ve kısaltmalar MADDE 3 (1) Bu Yönetmelikte geçen; a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi, b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları, c) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan, sadece ilgili işlemle sınırlı olan ve özgür iradeyle açıklanan rızayı, ç) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek hâle getirilmesini, d) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini, e) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin kimliğini, f) IMEI: Uluslararası mobil cihaz kimliğini, g) IMSI: Uluslararası mobil abone kimliğini, h) IP (İnternet Protokolü): Belirli bir ağa bağlı cihazların birbirini tanımak ve birbirleriyle iletişim kurmak için kullandıkları protokolü, ı) İşlem kaydı: Kişisel verilere erişen kişiler tarafından yapılan işlemin, işlemin gerçekleştiği tarihten sonra tanımlanabilmesini teminen tutulan ve asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları, i) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, j) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri, k) Kişisel veri ihlali: Yasa dışı, yetki dışı ya da istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini, l) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, m) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri ile elektronik haberleşme şebekesine bağlanan terminal cihazlarına uydu yön bulum sistemleri marifetiyle sağlanan yer bilgisini, n) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi, o) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel tanımlamayı, ö) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu, p) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu, r) NAT (Ağ Adresi Dönüştürme): Şebekede taşınan IP paketlerindeki gerçek IP adreslerini farklı tekniklerle yerel şebekede farklı IP adreslerine ve portlara dönüştürerek gerçek IP adres havuzunun verimli bir şekilde kullanılmasını sağlayan teknolojiyi, s) Trafik verisi: Bir elektronik haberleşme şebekesinde veri iletimi veya faturalama amacıyla işlenen her türlü veriyi, t) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi, konum verisi ya da ilgili diğer bilgileri, u) Zaman Damgası: 5070 sayılı Elektronik İmza Kanunu nun 3 üncü maddesinin (h) bendinde tanımlanan kaydı, ifade eder. (2) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir. İKİNCİ BÖLÜM Bu maddenin amaç ve kapsam olarak ayrılması gerektiği değerlendirilmektedir. Kişisel verilerin işlenmesi tanımı, muhafaza (saklama) işlevini de kapsadığından metinden çıkartılmıştır. Genel değerlendirmede de değinildiği gibi bu yönetmeliğin genel kişisel verilere yönelik değil sadece kişisel elektronik haberleşme verilerine yönelik olduğu düşünüldüğünden bu yönde de değişiklik önerilmiştir sayılı EHK nun EH sektörüne özgü olarak işletmecilerde oluşan kişisel elektronik haberleşme verilerinin düzenlenmesini ön gördüğü düşünülmektedir. Bu görüşten hareketle, yönetmelikte genel manada kişisel veri tanımı yerine Kişisel Elektronik Haberleşme Verisi (KEHV) tanımı yapılarak, yönetmeliğin odağına vurgu yapılmıştır sayılı EHK, elektronik haberleşme sektörüne münhasıran kişisel veri olarak elektronik haberleşme verisi, trafik verisi ve konum verisinden bahsetmektedir. Öte yandan, 6698 sayılı KVKK da tanımı verilen kişisel veri, gerçek kişiye ait verilerdir. Tüzel kişileri kapsamamaktadır. Yönetmeliğin kişisel veri tanımının 6698 sayılı KVKK ile aynılaştırılması gerekmektedir. Tüzel kişiler adına abonelik ihdas edilse de yönetmelik kapsamında olan elektronik haberleşme verisi, trafik ve konum verisi bu abonelikle elektronik haberleşme hizmeti alan gerçek kişidir. ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK TASLAĞI BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1 (1) Bu Yönetmeliğin amacı, kişisel elektronik haberleşme sektöründe kişisel verilerinin işlenmesi, saklanması ve gizliliğinin korunması için gerekli elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir. Kapsam MADDE 2- (1) Bu yönetmelik, kişisel elektronik haberleşme verisi işlenen gerçek kişileri ve işletmecileri kapsar. Dayanak MADDE 23 (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddeleri ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır. Tanımlar ve kısaltmalar MADDE 3 (1) Bu Yönetmelikte geçen; a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi, b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları, c) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan, sadece ilgili işlemle sınırlı olan ve özgür iradeyle açıklanan rızayı, ç) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek hâle getirilmesini, d) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini, e) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin kimliğini, f) IMEI: Uluslararası mobil cihaz kimliğini, g) IMSI: Uluslararası mobil abone kimliğini, h) IP (İnternet Protokolü): Belirli bir ağa bağlı cihazların birbirini tanımak ve birbirleriyle iletişim kurmak için kullandıkları protokolü, ı) İşlem kaydı: Kişisel verilere erişen kişiler tarafından yapılan işlemin, işlemin gerçekleştiği tarihten sonra tanımlanabilmesini teminen tutulan ve asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları, i) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, j) Kişisel elektronik haberleşme verisi: Kimliği belirli veya belirlenebilir gerçek ve tüzel kişiye ilişkin elektronik haberleşme verisi, trafik verisi veya konum verisini, k)kişisel elektronik haberleşme veri ihlali: Yasa dışı, yetki dışı ya da istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini, l) Kişisel elektronik haberleşme verilerinin işlenmesi: Kişisel elektronik haberleşme verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, m) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri ile elektronik haberleşme şebekesine bağlanan terminal cihazlarına uydu yön bulum sistemleri marifetiyle sağlanan yer bilgisini, n) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi, o) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel tanımlamayı, ö) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu, p) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu, r) NAT (Ağ Adresi Dönüştürme): Şebekede taşınan IP paketlerindeki gerçek IP adreslerini farklı tekniklerle yerel şebekede farklı IP adreslerine ve portlara dönüştürerek gerçek IP adres havuzunun verimli bir şekilde kullanılmasını sağlayan teknolojiyi, s) Trafik verisi: Bir elektronik haberleşme şebekesinde veri iletimi veya faturalama amacıyla işlenen her türlü veriyi, t) Elektronik Haberleşme Verisi: Elektronik haberleşme hizmeti alanların ses, görüntü, kısa mesaj ve benzeri verileri ile bu yönetmeliğin 11inci maddesinde kategorize edilen verileri, abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi ve konum verisini ya da ilgili diğer bilgileri, u) Zaman Damgası: 5070 sayılı Elektronik İmza Kanunu nun 3 üncü maddesinin (h) bendinde tanımlanan kaydı, ifade eder. (2) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir. İKİNCİ BÖLÜM

5 Uygulama Esasları Kişisel verilerin işlenmesine ilişkin ilkeler MADDE 4 (1) Kişisel verilerin; a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, b) Doğru ve gerektiğinde güncel olması, c) Belirli, açık ve meşru amaçlar için işlenmesi, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Güvenlik MADDE 5 (1) İşletmeciler bu Yönetmeliğin 4 üncü maddesindeki ilkeler çerçevesinde kişisel verilerin işlenmesine ilişkin olarak güvenlik politikalarını belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Kişisel veri ihlaline karşı kişisel verilerin korunmasını içerir nitelikteki bu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak her türlü riske uygun düzeyde alınır. (2) İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür. (3) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını zaman damgalı olarak saklamakla yükümlüdür. (4) Kurum, kişisel verilerin gizliliğinin korunması amacıyla gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteyebilir, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep edebilir. (5) Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için, Elektronik Haberleşme Kanununun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla kişisel veriler işlenebilir. (6) İlgili kanunlar ve bu yönetmelik kapsamında kişisel verilerin gizliliği, güvenliği, bütünlüğünün sağlanmasından ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (7) İşletmeciler, kişisel verileri işlenen tarafa, işlenen verilerin türü, işlenme amacı, işlenme yöntemi hususunda şeffaflık ve hesap verilebilirlik ilkelerine uygun şekilde gerekli bilgilendirmeyi yapmakla yükümlüdür. İşletmeciler, her açık rıza talebi öncesinde bu bilgilendirmeyi yapar. Ayrıca işletmeciler, asgari olarak web siteleri üzerinde söz konusu hususları içeren bir gizlilik politikası yayımlar. Riskin ve kişisel veri ihlalinin bildirilmesi MADDE 6 (1) İşletmeci, kişisel verilerin gizliliğinin ve güvenliğinin temini kapsamında şebekenin ve kişisel verilerin güvenliğini ihlal eden bir risk olması durumunda bu risk hakkında Kurumu, abonelerini/kullanıcılarını ve ilgili kurumları derhal bilgilendirmekle yükümlüdür. (2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde, söz konusu riskin kapsamı, giderilme yöntemleri hakkında abonelerin/kullanıcıların derhal bilgilendirilmesi sağlanır. (3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu bilgilendirir. (4) Kişisel veri ihlali bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olumsuz etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek önlemlere ilişkin ücretsiz olarak aboneleri/kullanıcıları bilgilendirir. (5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür. ÜÇÜNCÜ BÖLÜM Verilerin İşlenmesi ve Saklanması Haberleşmenin gizliliği MADDE 7 (1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının açık rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (2) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerinin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. Trafik verisinin işlenmesi MADDE 8 (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez. Bu madde iki farklı konuyu içerdiğinden ikiye ayrılmış ve yönetmeliğin daha rahat anlaşılmasının sağlanması amaçlanmıştır. Kişisel verilerin işlenmesi tanımına bakıldığında, saklama (muhafaza) ve aktarma işlevlerini de içerdiği görülmektedir. Bu nedenle saklama ifadesi bölüm başlığından çıkartılmıştır. Uygulama Esasları Kişisel elektronik haberleşme verilerin işlenmesine ilişkin ilkeler MADDE 4 (1) Kişisel verilerin; a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, b) Doğru ve gerektiğinde güncel olması, c) Belirli, açık ve meşru amaçlar için işlenmesi, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Güvenlik Kişisel elektronik haberleşme verilerin işlenme şartları MADDE 5 (1) İşletmeci, KEHV si işlenen tarafa en az; a) İşlenecek kişisel verinin türü b) KEHV lerinin hangi amaçla işleneceği, c) KEHV lerinin işlenme yöntemi, hakkında bilgi vererek açık rızasını almak zorundadır. İşletmeciler, her açık rıza talebi öncesinde bu bilgilendirmeyi yapar. (2) İşletmeciler, asgari olarak web siteleri üzerinde bu maddenin (1) fıkrasında yer alan hususları içeren aydınlatma belgesi yayımlar. (3) Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için, Elektronik Haberleşme Kanununun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla kişisel veriler açık rıza aranmaksızın da işlenebilir. Kişisel elektronik haberleşme verilerin güvenliği ve gizliliği MADDE 6- (1) İşletmeciler bu Yönetmeliğin 4 üncü maddesindeki ilkeler çerçevesinde kişisel elektronik haberleşme verilerinin işlenmesine ilişkin olarak güvenlik politikalarını belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Kişisel veri ihlaline karşı kişisel verilerin korunmasını içerir nitelikteki bu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak her türlü riske uygun düzeyde alınır. (2) Kişisel elektronik haberleşme verilerinin gizliliği esastır. İşletmeciler, kişisel elektronik haberleşme verilerine sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür. (3) İşletmeciler, kişisel elektronik haberleşme verilerine ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını zaman damgalı olarak saklamakla yükümlüdür. (4) Kurum, kişisel elektronik haberleşme verilerinin gizliliğinin korunması amacıyla gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteyebilir, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep edebilir. (5) Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için, Elektronik Haberleşme Kanununun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla kişisel veriler işlenebilir. (5) İlgili kanunlar ve bu yönetmelik kapsamında kişisel elektronik haberleşme verilerinin gizliliği, güvenliği, bütünlüğünün sağlanmasından ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (7) İşletmeciler, kişisel verileri işlenen tarafa, işlenen verilerin türü, işlenme amacı, işlenme yöntemi hususunda şeffaflık ve hesap verilebilirlik ilkelerine uygun şekilde gerekli bilgilendirmeyi yapmakla yükümlüdür. İşletmeciler, her açık rıza talebi öncesinde bu bilgilendirmeyi yapar. Ayrıca işletmeciler, asgari olarak web siteleri üzerinde söz konusu hususları içeren bir gizlilik politikası yayımlar. Riskin ve kişisel veri ihlalinin bildirilmesi MADDE 6 (1) İşletmeci, kişisel elektronik haberleşme verilerinin gizliliğinin ve güvenliğinin ve gizliliğinin temini kapsamında şebekenin ve kişisel elektronik haberleşme verilerinin güvenliğini ihlal eden bir risk olması durumunda bu risk hakkında Kurumu, abonelerini/kullanıcılarını ve ilgili kurumları derhal bilgilendirmekle yükümlüdür. (2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde, söz konusu riskin kapsamı, giderilme yöntemleri hakkında abonelerin/kullanıcıların derhal bilgilendirilmesi sağlanır. (3) İşletmeci, kişisel elektronik haberleşme veri ihlali olması durumunda söz konusu ihlalin niteliği ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu bilgilendirir. (4) Kişisel elektronik haberleşme veri ihlali bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olumsuz etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek önlemlere ilişkin ücretsiz olarak aboneleri/kullanıcıları bilgilendirir. (5) İşletmeci, gerçekleşen kişisel elektronik haberleşme veri ihlallerine ilişkin olarak söz konusu ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür. ÜÇÜNCÜ BÖLÜM Kişisel Elektronik Haberleşme Verilerinin İşlenmesi ve Saklanması Elektronik Haberleşme Verisinin İşlenmesi nin gizliliği MADDE 7 (1) Elektronik haberleşme ve ilgili trafik verisi, nin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının açık rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (2) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerinin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. Trafik verisinin işlenmesi MADDE 8 (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez.

6 (2) Trafik verisi; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. (3) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (4) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir. (5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Konum verisinin işlenmesi MADDE 9 (1) Katma değerli elektronik haberleşme hizmetleri sunmak veya elektronik haberleşme hizmetlerini pazarlamak amacıyla ihtiyaç duyulan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. Açık rıza alındıktan sonra işletmeciler konum verilerini işlerken abonelere/kullanıcılara her zaman bu verilerin işlenmesini reddetme imkânı sağlar. (2) İşletmeciler, abonelerin/kullanıcıların konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. (3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. Kişisel verilerin yurtdışına aktarılması MADDE 10 - (1) 7/4/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri saklı kalmak kaydıyla, trafik ve konum verileri, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) İlgili kişilerin, yurtdışına aktarılacak olan kişisel verilerin kapsamı, yurtdışına aktarılma amacı ve süresi hakkında bilgilendirilmelerini müteakip açık rızaları alınması ve milli güvenlik, kamu düzeni açısından Kurumca uygun bulunmak koşuluyla trafik ve konum verileri ilgili mevzuat hükümleri saklı kalmak kaydıyla yurt dışına aktarılabilir. (3) Uluslararası çağrılara ilişkin bilgiler ile bazı elektronik haberleşme hizmetlerinin sunulabilmesi için gerekli olan mobil telefon numara (MSISDN) bilgisi teknik zorunluluk kapsamında yurt dışına çıkarılabilir. Saklanacak veri kategorileri MADDE 11 (1) Bu Yönetmelik kapsamında işletmeciler tarafından aşağıda belirtilen kategorilerdeki veriler saklanır. a) Haberleşmenin takibi ve kaynağının tanımlanması için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi. 2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, abonenin/kullanıcının adı ve adresi. b) Haberleşmenin sonlandırılacağı noktayı belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği numara veya numaralar, abonelerin adı ve adresi. 2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı kimliği veya telefon numarası, internet telefonu veya elektronik posta alıcılarının adı ve adresi. c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 2) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik IP adresi, NAT kullanılan şebekelerde IP adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı. ç) Haberleşmenin türünü tanımlamak için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak kullanılan elektronik haberleşme hizmeti. 2) Elektronik posta ve internet telefonu ile ilgili olarak kullanılan internet hizmeti. d) Kullanıcıların haberleşme cihazlarını veya bunların ekipmanlarını tanımlamak için: 1) Sabit telefon hizmetiyle ilgili olarak haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları. 2) Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği. 3) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı numarası ya da haberleşmenin kaynaklandığı diğer nokta. e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği, haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre kimliğinin o adrese atanma ve kaldırılma tarihleri. (2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır. (2) Trafik verisi; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. (3) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (4) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir. (5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Konum verisinin işlenmesi MADDE 9 (1) Katma değerli elektronik haberleşme hizmetleri sunmak veya elektronik haberleşme hizmetlerini pazarlamak amacıyla ihtiyaç duyulan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. Açık rıza alındıktan sonra işletmeciler konum verilerini işlerken abonelere/kullanıcılara her zaman bu verilerin işlenmesini reddetme imkânı sağlar. (2) İşletmeciler, abonelerin/kullanıcıların konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. (3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. Kişisel elektronik haberleşme verilerinin yurtdışına aktarılması MADDE 10 - (1) 7/4/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri saklı kalmak kaydıyla, trafik ve konum verileri, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) İlgili kişilerin, yurtdışına aktarılacak olan kişisel verilerin kapsamı, yurtdışına aktarılma amacı ve süresi hakkında bilgilendirilmelerini müteakip açık rızaları alınması ve milli güvenlik, kamu düzeni açısından Kurumca uygun bulunmak koşuluyla trafik ve konum verileri ilgili mevzuat hükümleri saklı kalmak kaydıyla yurt dışına aktarılabilir. (3) Uluslararası çağrılara ilişkin bilgiler ile bazı elektronik haberleşme hizmetlerinin sunulabilmesi için gerekli olan mobil telefon numara (MSISDN) bilgisi teknik zorunluluk kapsamında yurt dışına çıkarılabilir. Saklanacak elektronik haberleşme veri kategorileri MADDE 11 (1) Bu Yönetmelik kapsamında işletmeciler tarafından aşağıda belirtilen kategorilerdeki elektronik haberleşme verileri saklanır. a) Elektronik Haberleşmenin takibi ve kaynağının tanımlanması için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi. 2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, abonenin/kullanıcının adı ve adresi. b) Elektronik Haberleşmenin sonlandırılacağı noktayı belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği numara veya numaralar, abonelerin adı ve adresi. 2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı kimliği veya telefon numarası, internet telefonu veya elektronik posta alıcılarının adı ve adresi. c) Elektronik Haberleşmenin tarihi, zamanı ve süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 2) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik IP adresi, NAT kullanılan şebekelerde IP adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı. ç) Elektronik Haberleşmenin türünü tanımlamak için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak kullanılan elektronik haberleşme hizmeti. 2) Elektronik posta ve internet telefonu ile ilgili olarak kullanılan internet hizmeti. d) Kullanıcıların elektronik haberleşme cihazlarını veya bunların ekipmanlarını tanımlamak için: 1) Sabit telefon hizmetiyle ilgili olarak haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları. 2) Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği. 3) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı numarası ya da haberleşmenin kaynaklandığı diğer nokta. e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği, haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre kimliğinin o adrese atanma ve kaldırılma tarihleri.

7 (3) İşletmeci abonelerine ait bilgileri doğru ve eksiksiz olarak saklar. (4) İşletmeci tarafından toplu kısa mesaj gönderimlerinde gerçek veya tüzel kişiye ait abone bilgileri saklanır. (5) Kurum tarafından gerekli görülmesi halinde bu madde kapsamında belirtilen kategoriler dışında da saklanacak veri kategorileri belirlenebilir. İşletmecilerin veri saklama süreleri MADDE 12 (1) İlgili mevzuatta geçen hukuki zaman aşımı hükümleri saklı kalmak kaydıyla bu Yönetmeliğin 11 inci maddesi kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren iki yıl, (2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar, (3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, (4) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların açık rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Saklanan verinin korunması ve güvenliği MADDE 13 (1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler asgari olarak; a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve koruma özelliklerine tabi olmasını, b) Saklanan verilerin, yasa dışı, yetki dışı ya da istem dışı, erişim, tahrip, kayıp, silinme değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını, c) Verilerin yalnızca yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanması için uygun teknik ve idari tedbirlerin alınmasını, ç) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde geri döndürülemeyecek şekilde silinmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya elektronik ortamda zaman damgalı olarak kayıt altına alınmasını sağlamakla yükümlüdür. (2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş taraflar marifetiyle yapılan işlemleri de kapsar. (3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde, saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin sağlamakla yükümlüdür. DÖRDÜNCÜ BÖLÜM Sağlanan İmkânlar Numaranın gizlenmesi MADDE 14 (1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda; a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla, b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla, c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından reddedilmesine imkân sağlamakla yükümlüdür. (2) İşletmeci, bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. (3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet imkânları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın, yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle yükümlüdür. (4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir. Otomatik çağrı yönlendirme MADDE 15 (1) İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır. Aboneler için hazırlanan rehberler MADDE 16 (1) Aboneler, basılı, elektronik veya teknolojik açıdan mümkün olan diğer yöntemlerle yayımlanan abone rehberlerinin, yayımlanma amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım imkânları hakkında rehbere kaydedilmeden önce ücretsiz olarak bilgilendirilirler. (2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin amaç ve kapsamına uygun olarak belirlenir. (3) İşletmeci rehberlerinde bilgileri yer alan abonelerin talep etmesi halinde, rehberlerde yer alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya rehberden çıkarılmasını ücretsiz ve basit bir yöntemle sağlar. (4) Rehber/rehberlik hizmeti kapsamında yapılacak sorgulamalarda, 28/5/2009 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği ile Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri kapsamında yapılan düzenlemeler esastır. Ayrıntılı faturalarda gizlilik MADDE 17 (1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar. Bu bölümün Kişisel Elektronik Haberleşme Verilerinin Korunması ile ilgisi kurulamamıştır. Bu bölümde geçen hususların Tüketici Hakları Yönetmeliği nde yer verilmesinin daha uygun olabileceği değerlendirilmektedir. Bölüm başlığının Veri Sahibinin Hakları olarak değiştirilmesi 14, 15, 16 ve 17. Maddelerin metinden çıkartılmasının uygun olabileceği düşünülmektedir. (2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır. (3) İşletmeci abonelerine ait bilgileri doğru ve eksiksiz olarak saklar. (4) İşletmeci tarafından toplu kısa mesaj gönderimlerinde gerçek veya tüzel kişiye ait abone bilgileri saklanır. (5) Kurum tarafından gerekli görülmesi halinde bu madde kapsamında belirtilen kategoriler dışında da saklanacak veri kategorileri belirlenebilir. İşletmecilerin kişisel elektronik haberleşme verilerini saklama süreleri MADDE 12 (1) İlgili mevzuatta geçen hukuki zaman aşımı hükümleri saklı kalmak kaydıyla bu Yönetmeliğin 11 inci maddesi kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren iki yıl, (2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel elektronik haberleşme verileri, ilgili süreç tamamlanıncaya kadar, (3) Kişisel elektronik haberleşme verilerine ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, (4) Kişisel elektronik haberleşme verilerinin işlenmesine yönelik abonelerin/kullanıcıların açık rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Saklanan kişisel elektronik haberleşme verilerinin korunması ve güvenliği MADDE 13 (1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler asgari olarak; a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve koruma özelliklerine tabi olmasını, b) Saklanan verilerin, yasa dışı, yetki dışı ya da istem dışı, erişim, tahrip, kayıp, silinme değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını, c) KEHV lerinin yalnızca yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanması için uygun teknik ve idari tedbirlerin alınmasını, ç) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde geri döndürülemeyecek şekilde silinmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya elektronik ortamda zaman damgalı olarak kayıt altına alınmasını sağlamakla yükümlüdür. (2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş taraflar marifetiyle yapılan işlemleri de kapsar. (3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde, saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin sağlamakla yükümlüdür. DÖRDÜNCÜ BÖLÜM Veri Sahibinin Hakları Sağlanan İmkânlar Numaranın gizlenmesi MADDE 14 (1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda; a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla, b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla, c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından reddedilmesine imkân sağlamakla yükümlüdür. (2) İşletmeci, bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. (3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet imkânları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın, yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle yükümlüdür. (4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir. Otomatik çağrı yönlendirme MADDE 15 (1) İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır. Aboneler için hazırlanan rehberler MADDE 16 (1) Aboneler, basılı, elektronik veya teknolojik açıdan mümkün olan diğer yöntemlerle yayımlanan abone rehberlerinin, yayımlanma amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım imkânları hakkında rehbere kaydedilmeden önce ücretsiz olarak bilgilendirilirler. (2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin amaç ve kapsamına uygun olarak belirlenir. (3) İşletmeci rehberlerinde bilgileri yer alan abonelerin talep etmesi halinde, rehberlerde yer alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya rehberden çıkarılmasını ücretsiz ve basit bir yöntemle sağlar. (4) Rehber/rehberlik hizmeti kapsamında yapılacak sorgulamalarda, 28/5/2009 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği ile Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri kapsamında yapılan düzenlemeler esastır. Ayrıntılı faturalarda gizlilik MADDE 17 (1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

8 Abonenin diğer hakları MADDE 18- (1) Abone, işletmecinin veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. BEŞİNCİ BÖLÜM Çeşitli ve Son Hükümler İdari para cezaları ve diğer yaptırımlar MADDE 19 (1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 15/2/2014 tarihli ve sayılı Resmî Gazete de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanır. Hüküm bulunmayan haller MADDE 20 (1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile düzenleme yapılır. Yürürlükten kaldırılan yönetmelik MADDE 21 (1) 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır. Atıflar MADDE 22 (1) Mevzuatta 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış sayılır. İstisnalar MADDE 23 (1) 6698 sayılı Kişisel Verilerin Korunması Kanununda zikredilen istisnai haller için bu Yönetmelik hükümleri uygulanmaz. (2) İşletmeci kişisel verilerin silinmesinden önce milli güvenlik, kamu düzeni, terörle mücadele gibi hususları dikkate alarak Kurum dan onay alır. Mevcut düzenlemelerin durumu GEÇİCİ MADDE 1 (1) 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe dayanılarak hazırlanan usul ve esaslar, alınan Kurul Kararları ile yapılan diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza eder. Yürürlük MADDE 24 (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer. Yürütme MADDE 25 (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür. Veri sahibinin Abonenin diğer hakları MADDE 18- (1) Veri sahibi Abone, işletmecinin veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel elektronik haberleşme verinin işlenip işlenmediğini öğrenme, b) Kişisel elektronik haberleşme verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel elektronik haberleşme verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel elektronik haberleşme verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel elektronik haberleşme verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel elektronik haberleşme verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel elektronik haberleşme verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. BEŞİNCİ BÖLÜM Çeşitli ve Son Hükümler İdari para cezaları ve diğer yaptırımlar MADDE 19 (1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 15/2/2014 tarihli ve sayılı Resmî Gazete de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanır. Hüküm bulunmayan haller MADDE 20 (1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile düzenleme yapılır. Yürürlükten kaldırılan yönetmelik MADDE 21 (1) 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır. Atıflar MADDE 22 (1) Mevzuatta 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış sayılır. İstisnalar MADDE 23 (1) 6698 sayılı Kişisel Verilerin Korunması Kanununda zikredilen istisnai haller için bu Yönetmelik hükümleri uygulanmaz. (2) İşletmeci kişisel verilerin silinmesinden önce milli güvenlik, kamu düzeni, terörle mücadele gibi hususları dikkate alarak Kurum dan onay alır. Mevcut düzenlemelerin durumu GEÇİCİ MADDE 1 (1) 24/7/2012 tarihli ve sayılı Resmî Gazete de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe dayanılarak hazırlanan usul ve esaslar, alınan Kurul Kararları ile yapılan diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza eder. Yürürlük MADDE 24 (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer. Yürütme MADDE 25 (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.